来源:检察日报
原标题是“挖矿”两年,获利1500万。
犯罪嫌疑人被抓获归案。
调查人员缴获的一些作案工具
每个网游爱好者都希望自己永远是赢家。如果问如何成为赢家,有人会说有一种“神器”叫“游戏外挂”,可以保证你每战必胜。“游戏外挂”自产生以来,一直受到网络游戏玩家的青睐。——人作弊,为他人“挖矿”,甚至人为操纵他人电脑犯罪。
山东省青州市网吧管理员何祥成就是一个“外挂高手”。在《狂怒世界》的“武功”帮助下,他通过在网络游戏中安装木马程序,将收集到的数据换取虚拟货币(俗称“挖矿”)为生。
什么是“采矿”
“矿”,什么是“矿”?即由特定字符串组成的数据值。“挖矿”是指非法控制他人的计算机信息系统,通过大量计算机操作获取数字货币。这是计算机系统下的犯罪行为。
“挖矿”的通常流程是犯罪嫌疑人在配置高、运行快的目标电脑上安装事先开发好的插件程序(木马程序),目标电脑通常是网吧电脑。电脑一开机,这些插件就自动在后台运行,并不断升级。在此过程中,嫌疑人利用“机器”(目标计算机)寻找特定字符串进行数据收集。只要找到特定的数据值,就可以从虚拟货币矿池中获得奖励,即可以获得虚拟货币。
虚拟币挖矿池是一个全自动的挖矿平台,会根据“矿工”(比特币网络处理能力的计量单位)的贡献来分配奖励。一般来说,虚拟币矿池搭建在犯罪嫌疑人的电脑服务器上,不仅实现了从单个矿工挖矿到多个矿工挖矿的计算能力聚合,还提高了比特币等虚拟币的挖矿稳定性,使矿工的收获稳定。当“矿工”的虚拟币达到一定数量后,可以提取出来,在相关网站兑换成人民币,实现非法获利。
何翔成通过“挖矿”成名,头衔很多,比如“天下网吧论坛”版主,辽宁省大连升平网络有限公司(以下简称升平公司)迅推平台大客户经理。网络给他带来了财富,也带来了噩梦,让他的生活变得飘忽不定。现在,梦想化为乌有,留下的只有邪恶。
8月3日,青州市检察院以涉嫌非法控制计算机信息系统罪对何祥成及其同伙贾峰、李云(贾峰妻子)等9名犯罪嫌疑人批准逮捕。自2015年以来,该团伙利用黑客技术控制了389万台电脑主机和100多万台挖矿主机,非法获利1500多万元。据悉,该案是山东省检察机关办理的首例利用木马程序非法控制他人计算机信息系统,并通过“挖矿”获取利益的新型刑事案件。
从论坛版主那里撬开冰山一角
何享成是怎么进入警方视线的?原来,腾讯安全团队在一款游戏插件中检测到一个隐藏的木马程序,这就是何享成开发的《绝地求生》插件程序。他和其他人利用这个外挂程序非法控制607台电脑“挖矿”。直到事件发生,木马已经感染了数十万用户的电脑。
腾讯网络安全部的工作人员告诉记者,一旦用户下载了游戏外挂程序《绝地求生》,电脑就会被植入木马程序。“杀毒手段在不断升级,木马也是如此。可以说是‘道高一尺,魔高一丈’!”办案检察官赵淑芬感慨道。
据赵淑芬介绍,这个挖矿程序会自动检测电脑的使用情况。当CPU(中央处理器)使用率在一定范围内时,木马会自动启动,在后台默默挖掘,电脑用户不会察觉。这就消耗了大量的电脑CPU、GPU(图形处理单元)资源和电源资源。何享成为什么这么懂电脑,又是怎么默默潜伏下来“挖矿”的?一连串的问号困扰着调查检察官。
这是三年前开始的。32岁的何翔成是当地一家网吧的网络管理员。一个偶然的机会,他成为了“世界网吧”论坛的版主。何翔成利用版主的身份,成立了多个外挂讨论组。他不仅在群文件中分享外挂程序,还悄悄将含有木马的外挂程序上传到“天下网吧”论坛供网友下载。平时,何祥成还利用木马程序向电脑用户投放广告弹窗,从而获取广告利益。用户每点击1000次,何享成就获得几分钱的收益。单看效益很小,但久而久之,利润不是小数。
很快,何翔成就成功“研发”出一款适用于《绝地求生》等游戏的新外挂程序,具有自动瞄准、透视、子弹加速、子弹追踪等功能。通过社交群、论坛进行宣传,供网民免费下载,发展大量用户。
随着“事业”越做越大,何翔成不再满足于“小打小闹”。他酷爱模仿“爱奇艺”,编写酷艺VIP影视服务器和客户端,发展全国60多家代理商,以年卡、月卡的形式销售到全国各地的网吧。至案发时,何祥成已向全国2465家网吧销售年卡5774张、季卡282张、半年卡116张、月卡3285张,非法获利20余万元。
除此之外,何翔成还有一个重要的身份,那就是58迅推平台的大客户经理。何翔成利用58迅推增值客户端控制网吧主机3万余台,非法获利26.8万余元。
2017年10月起,何翔成修改了58迅推的增值客户端和挖矿程序,嵌入了自己的HSR(红烧肉币)钱包地址。挖矿主机在挖矿时挖到矿币后会转移到它的HSR钱包里。至案发时,何祥成已挖出8552枚钱币(最高价252元/枚,目前市值42元/枚)。
挖出“幕后老板”
58快推增值联盟起源于一家网络公司,——升平公司。这家公司成立于2014年,位于大连市甘井子区。公司有两个网站:一个是迅推,一个是速推。两个网站分工各有侧重。快推主要是广告增值和云增值(也就是“挖矿”,也就是挖虚拟货币);力推做手机App。
2014年试运行后,公司幕后控制人贾峰指使公司副总裁、运营主管张组织所谓的“R&D”,即先开发采矿监控软件,再整合采矿方案。很快,公司组建了以阎石为技术总监,赵乐乐、丛伊宁、彭立山等人为技术骨干的R&D团队,对发现的挖矿程序进行完善,制作成“EXE”木马程序。程序开发完成后,将由测试部门的测试人员柏华进行测试。一旦测试成功,将会放入公司的快推客户端平台,然后由郭、费杰尼等客服部门人员通过客服、QQ向市场推广。客服部肩负着“发展下线,领导和指导其使用”的双重任务。在营销过程中,成功“吸收”了何享成、张数等部分下线。
何向成等下线从迅推平台下载增值客户端程序后,通过各种方式将增值客户端非法植入网吧主机,并静默下载挖矿监控软件和挖矿程序运行。挖掘出来的矿币会被转移到何祥成等人的虚拟货币钱包里,由公司财务总监李云随时提现,并根据控制的终端数量向代理商发放提成。这些虚拟货币主要包括DGB(极特殊货币)、XMR(门罗货币)、Zcash(零货币)等类型。截至案发,团伙成员非法控制389万余台电脑主机打广告增值收益,并在100余万台电脑主机中悄悄安装挖矿程序。在两年时间里,他们挖出了超过2600万DGB(极其特殊的硬币)。这些虚拟货币大部分已被出售,犯罪嫌疑人非法获利1500多万元。
所有下线被捕
与何享成同时加入58快推增值联盟的杜良辉、张舒、高悦然,也是发展迅速的三个“下线”。
今年33岁的广东佛山人杜良辉是盛平公司成立之初的客户,算是资深员工。他从迅推网页上下载了一个升平公司提供的EXE格式的客户端程序,对软件进行了编辑,并将其绑定到自己编写的一个消除网吧广告的小软件上。在网吧剔除其他广告的同时,他还能接受升平公司的广告。杜良辉还把这个软件分享到一个网管QQ群,请其他网管朋友帮忙推广。很多人用的不错,就自己下载安装在网吧系统里。此时,邪恶之手已经伸向了这些网吧。就这样,杜良辉利用网吧维护员的身份,将迅推网站“推广”的“EXE”木马程序默默植入网吧电脑。案发时,杜良辉已非法控制9495台电脑“挖矿”,获利100余万元。
36岁的黑龙江青年张舒和同龄的好友高悦然也在“挖矿”一线忙碌着,他们和贾峰形成“铁三角”。早在2014年,贾峰就和张叔见过面。当时贾峰在做广告弹窗,而张舒是一家网络公司的法人代表,负责维护“网先锋”的网站,网站本身就有推送功能,这就给以后挖矿留下了“坑”。
2017年6月至2018年4月,张舒、高悦然利用管理网先锋管理系统的便利,将升平公司提供的“EXE”木马植入网先锋的服务器,非法控制了黑龙江的一亩园网吧、银河舰队网吧、大家网吧等486家网吧共计15772台电脑进行“挖矿”牟利。张舒、高悦然作案时,升平公司负责木马程序的正常运行,统计挖出的虚拟货币数量,变现、提现,其中退还张舒30余万元。
2018年4月,青州市公安局抽调50余名精干人员赶赴大连。在当地公安机关的配合下,经过紧张侦查,最终抓获贾峰、等16名涉嫌非法控制计算机信息系统的犯罪嫌疑人。至此,警方一举破获这起特大非法控制计算机信息系统案,抓获涉案犯罪嫌疑人20名,成功捣毁涉案网络科技公司2家,查扣涉案电脑52台,缴获游戏黑客程序1个、vpn加速器1个、酷艺VIP电影木马控制程序1个;同时,公安机关还查获木马、挖矿程序增值客户端58个,挖矿监控程序157个。
据办案检察官介绍,这类新型刑事案件,由于保密性强,使得受害人对犯罪分子的“挖矿”行为知之甚少。很多时候,电脑对插件程序并不知情,这不仅直接影响了电脑的GPU和CPU的正常运行,也造成了巨大的电力资源浪费。(嫌疑人及涉案公司均为化名)
